Иными словами, разработчики с каждым обновлением убирают всевозможные уязвимости в программном обеспечении, которые могут быть использованы злоумышленниками против вас.
Бесплатные версии платных программ
В сети существует масса сервисов со взломанными версиями платных программ. Такие программы называются «активаторы» и «кряки». Созданы они для обхода активаций и бесплатного использования таких программ, как «Photoshop», "Word" и тому подобное.
Многие люди используют такие программы в повседневной жизни и совсем не подозревают о том, что скрывается внутри. Следует запомнить простое правило:
Если вы не платите за товар, значит, товаром являетесь вы
Подобный софт создают не из-за каких-нибудь идейных побуждений или альтруистических наклонностей. Авторы такого софта, как правило, преследуют личные интересы. Нередко при установке «активатора» в систему проникает троянская программа, которая ворует ваши пароли от учетных записей и устанавливает удаленный доступ к вашему устройству.
Антивирусы никак не помогут решить эту проблему и не смогут обезопасить ваше устройство, поскольку многие передовые противовирусные программы попросту ничего не обнаруживают.
Общие рекомендации
Пользуйтесь услугами антивирусных программ и надейтесь, что они хоть как-то вам помогут.
Диверсифицируйте устройства на личные и рабочие.
Регулярно обновляйте программное обеспечения на всех устройствах.
Не скачивайте никакие исполняемые файлы и архивы с неофициальных сайтов приложений.
Приучите себя платить за софт, иначе вы рискуете потерять свои данные, учетные записи, деньги, время и нервы.
Регулярно создавайте резервные копии своих устройств или настройте автоматическое создание резервных копий, чтобы в случае взлома, утери, кражи или поломки устройства вы оперативно могли получить доступ к своим данным.
Облачные сервисы
Хакеры регулярно взламывают облачные сервисы знаменитых людей (iCloud, Google Disk и т. п.) в целях шантажа и вымогательства.
Во избежание утечки важных для вас данных заранее позаботьтесь о содержимом своих облачных сервисов: почистите хранилища и перенесите данные на более безопасные (физические) накопители.
Мессенджеры
Telegram, WhatsApp и ВКонтакте являются самыми популярными мессенджерами. Не стоит хранить в них важные чувствительные данные и свои пароли, так как в случае взлома вы рискуете потерять доступ к остальным учетным записям.
Для того чтобы обезопасить себя от взлома, следует установить "облачный пароль" и двухфакторную аутентификацию.
Общие рекомендации
Регулярно обновляйте приложения до последних версий.
Не храните в мессенджерах свои пароли от учетных записей.
Установите "облачный пароль" и двухфакторную аутентификацию.
Скачивайте приложения только из проверенных источников (App Store и Play Market).
Не храните в мессенджерах информацию, которую могут использовать против вас.
Сим-карты
Один из самых распространенных способов взлома перевыпуск сим-карты.
Этим способом часто пользуются злоумышленники: оформляют перевыпуск вашей сим-карты, после чего получают доступ к аккаунтам через восстановление пароля.
Чтобы исключить данный способ компрометации, необходимо сделать две вещи:
1. Установить PIN-код на сим-карту.
2. Запретить перевыпуск своей сим-карты у сотового оператора.
Публичные Wi-Fi сети
В наше время, когда беспроводные Wi-Fi сети есть практически везде: на вокзалах, в кафе, ресторанах и даже глубоко под землей в вагонах метро, далеко не все знают об угрозах информационной безопасности, которые касаются каждого пользователя, включившего Wi-Fi на своем устройстве.
Перехват трафика
Если вы подключены к публичной Wi-Fi сети, злоумышленник может легко перенаправить весь трафик между вашим устройством и роутером через свой ноутбук, тем самым он получит доступ ко всем данным, которые вы передаете или загружаете. Для этого злоумышленник будет использовать MitM-атаку (человек посредине) ARP-spoofing.
Создание поддельных точек доступа
Большинство современных телефонов и ноутбуков автоматически ищут Wi-Fi сети и подключаются к ним. В первую очередь такие устройства будут искать сети со знакомыми названиями, такими как «MosMetro_Free» или «MT_FREE». Во время поиска устройства отправляют запросы на подключение к сетям.
Злоумышленник может создавать сети с идентичными названиями и паролями для того, чтобы ваше устройство автоматически подключились к его точке доступа. Пользователь, увидев открытую сеть с названием кафе, скорее всего подключится к ней, не подозревая о том, что после подключения злоумышленник сможет управлять его соединением.
Атака
Далее злоумышленник подменит протокол шифрования с "https://", который защищен и не подвержен атакам, на "http://", который поддается взлому, после чего успешно перехватит ваши пароли и сможет обманным путем заставить вас скачать на свое устройство вирус, с помощью фишинговой атаки.
Как избежать взлома?
Чтобы избежать взлома не пользуйтесь публичными сетями, вместо них используйте мобильную сеть, либо раздавайте точки доступа со своих устройств, предварительно установив на них защиту.
Домашний Wi-Fi роутер
Не забывайте, что, находясь у себя дома вы также можете стать жертвой хакерской атаки или предметом слежки, если ваш домашний Wi-Fi роутер и система "умного дома" не защищены должным образом.
Незащищенные роутер и беспроводная сеть могут стать точкой входа для соседа, который практикует свои знания, или для настоящего злоумышленника. Постоянно обновляйте ПО на роутере, но только от доверенного разработчика.
Как настроить роутер?
Для настройки вам необходимо получить доступ к админ-панели роутера. Инструкция для получения доступа находится в договоре о предоставлении услуг, либо на наклейке, приклеенной к обратной стороне устройства.
В большинстве случаев доступ к админ-панели можно получить, используя заводские адреса и пароли:
Адрес 192.168.0.1 или 192.168.1.1
Логин admin или 12345.
Пароль admin или 12345.
Общие рекомендации
Измените стандартный IP-адрес устройства.
Отключите WPS и удаленный доступ к роутеру.
Регулярно обновляйте прошивку и программное обеспечение.
Установите сложные пароли для сети Wi-Fi, админ-панели и устройств "умного дома".
Установите в качестве механизма защиты беспроводной сети алгоритм WPA3-PSK (Wi-Fi Protected Access) и ни в коем случае не используйте механизмы WEP, WPA и WPA2.
Virtual Private Network (VPN)
Чаще всего пользователи скачивают VPN на мобильные устройства. Более надежными для использования являются платные VPN-сервисы, но даже их использование лишь снижает, а не исключает риск использования вашей информации для получения прибыли.
Главная опасность VPN высокий риск утечки данных. Пользователи думают, что VPN лишь дает возможность пользоваться недоступными в регионе сайтами, но вместо этого рискуют потерять свои данные, которые находятся на их устройстве.
Использование VPN-сервисов равносильно тому, если бы вы отдали свой паспорт первому встречному. Помните, что ни один заблокированный сайт никогда не представит большей ценности, чем безопасность ваших персональных данных.
Если вам необходимо использовать VPN лучшим решением будет создание собственного. Создание собственного VPN стоит не так дорого, как может показаться на первый взгляд, однако, личный сервер сведет к нулю риски потери данных.
Безопасность в сети
Не скачивайте файлы с непроверенных сайтов, не открывайте "исполняемые файлы" и архивы от неизвестных людей. Будьте бдительны и не переходите по полученным в spam-рассылках ссылкам.
Фишинговые атаки
Фишинг это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Получение доступа к данным достигается путем проведения массовых спам-рассылок электронных писем и личных сообщений, якобы от имени популярных брендов. В таких письмах и сообщениях содержатся ссылки на сайты-подделки, внешне неотличимых от настоящих. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами, играя на эмоциях пользователя, заставить его отправить свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и счетам.
Иными словами, фишинг это разновидность социальной инженерии, основанная на незнании пользователями основ сетевой безопасности. Многие интернет-пользователи не знают простого факта: сервисы не рассылают письма с просьбами отправить данные от своей учетной записи.
Пример spam-рассылки
На электронные адреса была произведена spam-рассылка, якобы от MetaMask'a[6]. В письмах содержалась информация о необходимости прохождения KYC[7] для разблокировки кошелька:
Ссылка из письма ввела на фейковый сайт. Внешне он никак не отличался от оригинала, однако имел другой адрес:
1. metamask.io настоящий сайт.
2. meta
n
Адрес сайта отличался всего одной буквой. Жертвы фишинговой атаки не заметили отличия и потеряли доступ к своим кошелькам, поэтому будьте крайне бдительны, когда переходите по незнакомым ссылкам.
Как избежать фишинговой атаки?
Чтобы избежать фишинговой атаки:
Не подключайтесь к сети с помощью публичных Wi-Fi.
Внимательно проверяйте адрес сайта в поисковой строке, сверяя каждый символ.
Сверяйте адрес отправителя электронного письма с электронным адресом, указанным на сайте сервиса.
Никогда и ни под каким предлогом не вводите свои данные на сайтах, на которые вы попали, перейдя по ссылке.
Криптовалютные кошельки
Кошельки внутри криптовалютной экосистемы делятся на «горячие» и «холодные». Если вы хотите надежно хранить свои средства используйте холодные кошельки и не держите на горячих кошельках ощутимую для себя сумму, так как они могут быть взломаны.
Горячие кошельки
Горячие кошельки это онлайн-платформы, доступ к которым обеспечивается через мобильное устройство, ноутбук или ПК. Такие кошельки называются «кастодиальными», то есть предполагают хранение криптоактивов посредниками, а значит приватные ключи для доступа к их содержимому принадлежат посредникам. Именно здесь скрывается уязвимость в системе безопасности, поскольку доверенные посредники часто оказываются ее брешью.
Холодные кошельки
Холодные кошельки это хранилища цифровых активов, которые не подключены к интернету и чаще всего представлены аппаратными или бумажными кошельками. Можно с уверенностью утверждать, что холодные кошельки являются стандартом безопасности для криптоактивов в криптоиндустрии.
Поскольку холодные кошельки не подключаются к интернету, это делает их недосягаемыми для хакеров и обеспечивает лучшую защиту криптоактивов, так как вы владеете приватными ключами.
Владение приватными ключами предполагает полный контроль над криптоактивами. Однако, это также предполагает определенную ответственность за их безопасность.
Хранение активов в альтернативных сетях
Конвертация и хранения криптоактивов в неродных сетях (например, BTC > WBTC и ETH > WETH) небезопасны, так как в случае взлома протокола хакеры могут достать базовый актив, обеспечивающий «обернутый», оставив вам ничем не обеспеченные и ничего не стоящие фантики.
Имейте ввиду, что хранение активов в «неродных» сетях из-за желания сэкономить на комиссиях может лишить вас денежных средств.
Общие рекомендации
Не храните активы в неродных сетях.
Не храните фразу восстановления на электронных носителях.
Храните несколько копий фразы восстановления в надежных местах (дома, на даче и т. д.).
Не контактируйте с незнакомыми токенами и NFT, особенно на децентрализованных биржах и незнакомых вам площадках. Существует вероятность потери доступа к кошельку и к денежным средствам.
Никому, никогда и никуда не отправляйте seed-фразы от своих холодных и горячих кошельков. Разработчики не будут отправлять вам письма с просьбой повторить seed-фразу, чтобы убедиться, что вы ее не забыли.
Виды мошенничества
Многие начинающие криптоблогеры продают свои telegram-каналы мошенникам, либо вовсе начинают всячески обманывать свою аудитории с целью заработать.
Приведу несколько общих рекомендаций:
1. Никому не переводите свои средства ни под каким предлогом.
2. Никогда и ни при каких обстоятельствах не передавайте свои средства в доверительное управление. Никто не будет зарабатывать деньги за вас.
3. Не покупайте неизвестные токены, особенно на децентрализованных биржах. Создание и выпуск собственного токена на децентрализованной бирже весьма простая задача. Токены не проходят никаких проверок и биржевых аудитов.
4. Не покупайте токены блогеров, многие из них замечены в откровенном обмане, например, чего стоит история с нашумевшем токеном $AZY https://www.tradingview.com/x/HAutBRg9/. Схема работы: продают как можно больше токенов, после чего вытаскивают всю ликвидность из проекта, оставляя несколько человек для создания видимости жизнедеятельности проекта.
5. Не участвуйте в марафонах по заработку миллионов с нескольких долларов это мошенничество. Подобные марафоны преследуют две основных цели:
5.1 получить от вас деньги за участие в марафоне.
5.2 получить от вас деньги продав вам собственный токен.
6. Не контактируйте с незнакомыми токенами и NFT, особенно на децентрализованных биржах и незнакомых вам площадках. Существует вероятность потери доступа к кошельку и к денежным средствам.
7. Не верьте скриншотам с информацией о листингах на Binance и других площадках, а также не доверяйте скриншотам с твитами известных людей, якобы призывающих к покупке какого-либо токена, так как с вероятностью в 99 % это обман с целью нажиться на вас.
8. Не участвуйте в первичных размещениях (ICO / IDO) с непроверенными каналами, так как участились случаи сбора средств без предоставления аллокации и возврата.
9. Не участвуйте в PUMP'ах и DUMP'ах низколиквидных монет, организованных различными сообществами, так как на подобных мероприятиях зарабатывают исключительно организаторы.
10. Никому, никогда и никуда не отправляйте seed-фразы от своих холодных и горячих кошельков. Разработчики не будут отправлять вам письма с просьбой повторить seed-фразу, чтобы убедиться, что вы ее не забыли.
11. Прежде чем переходить по полученным в личных сообщениях или по почте ссылкам на сайты проектов, проверяйте их с помощью coinmarketcap.com, так как злоумышленники маскируют свои фишинговые сайты под известные проекты, а при получении вашего пароля или при подключении кошелька крадут средства.
12. Для того чтобы добиться доверия читателей, некоторые мошенники нанимают актеров, которые записывают видеоролики якобы от лица администраторов, а потом продают своим же читателям фантики.
Прежде чем что-либо сделать, купить, отправить, перейти по ссылке несколько раз подумайте и все перепроверьте. Если вы наткнулись на очевидное мошенничество обязательно отправьте жалобу на проверку администраторам ресурса. Таким образом вы сможете помочь людям, предотвратив потерю чьих-то денежных средств.